CC BY
6ДЕНЬГИ, КРЕДИТ, БАНКИ
УДК 336.71
Магомаева Лейла Румановна,
доктор экономических наук, доцент,
директор института цифровой экономики и технологического предпринимательства, ФГБОУ ВО «Грозненский государственный нефтяной технический университет имени академика М.Д. Миллионщикова»
г. Грозный, Российская Федерация. Галазова Светлана Сергеевна, доктор экономических наук, профессор, профессор кафедры экономики,
ФГБОУ ВО «Северо-Осетинский государственный университет имени Коста Левановича Хетагурова»,
г. Владикавказ, Российская Федерация.
Magomaeva Leyla Rumanovna,
Doctor of Economic Sciences Associate Professor,
Director of the Institute of Digital Economy and Technological Entrepreneurship M.D. Millionschikov Grozny State Oil Technical University, Grozny, Russian Federation. Galazova Svetlana Sergeevna,
Doctor of Economics, Professor, Professor of the Department of Economics, K.L. Khetagurov North Ossetian State University, Vladikavkaz, Russian Federation.
ОСОБЕННОСТИ ФОРМИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ИДЕНТИФИКАЦИИ РИСКОВ ДЛЯ ОРГАНИЗАЦИЙ КРЕДИТНО-ФИНАНСОВОЙ СФЕРЫ В УСЛОВИЯХ РАЗВИТИЯ ДИСТАНЦИОННЫХ КАНАЛОВ
ОБСЛУЖИВАНИЯ
FEATURES OF FORMATION OFAN INTEGRATED SYSTEM OF RISK IDENTIFICATION FOR ORGANIZATIONS OF THE CREDITAND FINANCIAL SPHERE IN THE CONDITIONS OF DEVELOPMENT OF REMOTE SERVICE
CHANNELS
В связи с активным внедрением мер социального дистанцирования на фоне распространения COVID-19, внимание научного сообщества, сконцентрировано на исследованиях применения цифровых, бесконтактных финансовых технологий обслуживания клиентов. Риски, связанные с распространением COVID-19, открывают проблемы неформальной занятости, развитие которых обусловлено преимущественно сокращением рабочих мест, отсутствием социальных гарантий и снижением размера заработной платы. Кредитно-финансовый сектор является наиболее чувствительным к воздействию рисков, обусловленных влиянием пандемии, поскольку аккумулируемые в нем финансовые расчеты и транзакции усиливают рост преступлений связанных с легализацией доходов, полученных преступным путем.
Данная статья раскрывает особенности формирования комплексной системы идентификации рисков COVID-19 для организаций кредитно-финансовой сферы в условиях развития дистанционных каналов обслуживания. В ходе проведенного исследования авторами было установлено, что : достижение максимального эффекта от внедряемой системы идентификации рисков COVID-19 в масштабе многофилиальной кредитно-финансовой организации, обеспечивается путем анализа событий и источников на уровне различных операционных и бизнес процессов в рамках последующей оценки потенциальных угроз и идентификации наиболее значимых из них.
В рамках данной публикации также рассмотрена и усовершенствована методология COSO ERM, механизмами контроля балансировки распределения клиентов для цели нивелировании разницы в уровне вовлеченности между различными филиалами Использование механизма контроля балансировки позволит снизить вероятность неверного профессио-
1 При финансовой поддержке РФФИ (проект № 20-010-00101 А)
57
нального или экспертного суждения на уровне предпринятых комплаенс процедур и оценочных суждений и установить операционные и бизнес процессы, наиболее подверженные риску.
Ключевые слова: риск COVID-19, система идентификации и управления риска, кредитно-финансовые организации, противодействие легализации доходов, методология COSO, филиалы, балансировка, комплаенс контроль, комплаенс отчет, концентрация риска.
Due to the active implementation of social distancing measures against the background of the spread of COVID-19, the attention of the scientific community is focused on research on the use of digital, contactless financial technologies for customer service. The risks associated with the spread of COVID-19 open up problems of informal employment, the development of which is mainly due to the reduction of jobs, lack of social guarantees and a decrease in wages. The financial and credit sector is the most sensitive to the impact of risks associated with the impact of the pandemic, since the accumulated financial settlements and transactions in it increase the growth of crimes related to the legalization of proceeds from crime.
This article reveals the features of the formation of a comprehensive COVID-19 risk identification system for organizations in the credit and financial sector in the context of the development of remote service channels. In the course of the study, the authors found that: achieving the maximum effect from the implemented COVID-19 risk identification system on the scale of a multi-branch financial institution is ensured by analyzing events and sources at the level of various operational and business processes as part of the subsequent assessment of potential threats and identification the most significant of them.
Within the framework of this publication, the COSO ERM methodology is also considered and improved, the mechanisms for balancing customer distribution for the purpose of leveling the difference in the level of involvement between different branches. and the business processes most at risk.
Keywords: COVID-19 risk, risk identification and management system, financial institutions, anti-money laundering, COSO methodology, branches, balancing, compliance control, compliance report, risk concentration.
ВВЕДЕНИЕ
На сегодняшний день активизация мошеннических действий и преступлений в кредитно-финансовой сфере занимают особое место в мире в виду расширения рисков, связанных с пандемией COVID-19.
Статистические обзоры, регулярно публикуемые FATF (Financial Action Task Force on Money Laundering) [2] свидетельствуют об увеличении случаев мошенничества, киберпреступности, нецелевого или неправомерного использования государственных ресурсов или международной финансовой помощи практически во всех сферах хозяйственной деятельности, выделяя среди них четыре ключевых блока:
• рост случаев неправомерного использования виртуальных активов и финансовых услуг в Интернете для перемещения и сокрытия доходов, полученных преступным путем;
• незаконное использование мер экономического стимулирования и программ по предоставлению помощи в случае неплатежеспособности, за счет которых физические и юридические лица скрывают и отмывают доходы, полученные преступным путем;
• неправомерное использование и хищение финансовой помощи, предоставляемой странам и компаниям на национальном и международном уровнях, а также средств, выделяемых из фондов на покрытие чрезвычайных и непредвиденных расходов;
• мошенничество и преступления в кредитно-финансовой сфере, направленные на увеличение оборота денежной наличности.
Наиболее серьезные проблемы от распространения рисков, связанных с COVID-19, неслучайно затрагивают именно кредитно-финансовый сектор, поскольку он абсорбирует основные каналы для расчетных и платежных операций, а также каналы наличного денежного обращения. Необходимо учитывать, что в целом риски, связанные с COVID-19, охватывают преимущественно «внешние события», возникающие не во внутренней среде, а во «внешней среде», трансформируемые через различные операционные и бизнес каналы в области обеспечения коммуникаций и удаленной работы [7].
В крупных кредитных организациях и финансовых компаниях, имеющих многофилиальную штатную структуру, стандартное функционирование предусматривает постоянную выстроенную коммуникацию со многими территориями с учетом существующей инфраструктуры и сложившейся операционной модели. Однако в условиях пандемии коронавируса, многие кредитные и финансовые организации перевели часть функций в удаленный формат, сохранив при этом стандартный формат работы с клиентами на площадках в других городах и территориях, где эпидемиологическая ситуация была менее острой и сохранялась возможность работы из офиса, что позволило снизить операционные затраты на отлаживание инфраструктурных ограничений [12]. При этом сохранение удаленного формата работы с клиентами принесло, как ожидаемые возможнос-
58
ти по сохранению операционной и бизнес функций, так и угрозы, обусловленные активизацией не только операционных, но и киберрисков [8, 11], а в масштабах глобальной финансовой системы — крупнейших комплаенс рисков, связанных главным образом, с возможностью легализации доходов полученных преступным путем и финансированию [10].
Сегодня на базе Банка России разрабатывается информационный сервис по оценке риска клиентов кредитных организаций, которая будет называться «Знай своего клиента», которая позволит распределять клиентов банков по зонам рисков на основании объективных критериев с точки зрения проведения операций в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма. По замыслу регулятора, с созданием такой платформы будет снижена нагрузка на добросовестных предпринимателей, в первую очередь на малый и микробизнес, за счет количества дублирующих запросов одной и той же информации от разных кредитных организаций. В то же время банки смогут сконцентрироваться на работе с сомнительными клиентами, сократятся превентивные ограничительные меры со стороны кредитных организаций при выявлении незначительных и «технических» рисков, связанных с антилегализацион-ными процедурами.
Вместе с тем, представители банковской среды [1], выражают глубокую озабоченность от внедрения системы на основе массовой сегментации клиентской базы, поскольку нарушается главный принцип независимости регулятора на рынке, что как следствие приводит к возникновению конфликта интересов при выполнении регуляторных и надзорных функций Банка России.
В этой связи, определяющим условием для преодоления рисков СОУГО-19 становится необходимость создания внутренней системы идентификации рисков СОУГО-19 для снижения мошеннических действий и преступлений в кредитно-финансовой сфере. Создание такой системы на уровне всех участников кредитно-финансового сектора будет способствовать снижению этого риска и обеспечению внедрения риск-ориентированного подхода для предотвращения отмывания доходов, полученных преступным путем и финансирования терроризма.
Кредитно-финансовый сектор является наиболее чувствительным к воздействию рисков, обусловленных влиянием пандемии, поскольку аккумулируемые в нем финансовые расчеты и транзакции усиливают рост преступлений связанных с легализацией доходов, полученных преступным путем [14].
Достаточно сказать, что еще в 1989 году на уровне международного сообщества была создана специальная Группа для организации работы по противодействию отмыванию доходов, полученных преступным путем РАТР, членом которой Россия является с 2003 года.
Недавно РАТР завершила разработку Руководства по «цифровой личности», в котором подробно освещаются преимущества использования удаленной идентификации клиентов, гарантирующей повышенную безопасность, конфиденциальность и удобство удаленной идентификации лиц как на этапе их регистрации, так и в ходе проведения последующих транзакций, снижая тем самым вероятность легализации доходов, полученных преступным путем. Следует отметить, что уже разработанные стандарты РАТР дают лишь общие рекомендации к выявлению клиентов и операций, обладающих повышенным риском в условиях распространения СОУГО-19, тогда как разработка детализированных индикаторов входит в зону ответственности национальных органов по противодействии легализации доходов, полученных преступным путем [4].
Сформированные стандарты РАТР для идентификации системы рисков СОУГО-19 охватывают сразу несколько схем совершения противоправных действий в отношении клиентов и непосредственно самой кредитно-финансовой организации.
• Мошенничество путем подмены должностного лица или предоставление заведомо ложной информации о распространяемых продуктах, услугах. Основное содержание такой схемы заключается в подмене информации о преступной деятельности путем выдачи себя за государственных должностных лиц, осуществляющих налоговую, финансовую и иную деятельность путем обращения к клиенту посредством телефонной и интернет-связи, вовлечении клиента в противоправную деятельность и впоследствии получения информации о банковской карте клиента для перевода денежных средств. В практике часто встречаются случаи, когда мошенники выдают себя за медицинских работников, собирающих денежные средства на оплату лечения близких родственников клиента, запрашивая при этом информацию о банковских счетах для предоставления налоговых и иных льгот.
59
• Псевдоблаготворительная деятельность, реализуемая путем направления электронных писем о пожертвованиях на мероприятия COVID-19, последствием которой является запрос у спонсоров информации о кредитной карте через безопасный цифровой кошелек подозреваемого.
• Распространение информации о подделках (включая распространение товаров медицинского характера) от имени сотрудников благотворительных и международных организаций, и впоследствии, запрос у клиентов информации о банковских счетах и картах, на которые будет осуществляться их доставка при отсутствии таких товаров на практике.
• Распространение псевдомедицинских услуг о лечении от имени несуществующих организаций для получения сведений о счетах клиентов.
• Распространение услуг инвестиционного и рекламного характера, носящих ложный характер для получения информации о личных данных клиентов и их последующего использования в целях легализации денежных средств.
• Киберпреступления на основе социальной инженерии, а также фишинговых рассылок и спам-уведомлений для цели получения личной платежной информации клиентов. В основе таких преступлений лежит распространение вредоносных рассылок от имени псевдо организаций, включая международных компании, Всемирную организацию здравоохранения и пр. Также использование киберпреступности характерно для компроментации персональных данных клиентов, включая адреса электронной почты, телефонных номеров с целью получения доступа к персональным данным клиентов и их транзакциям.
Для выявления подобных схем и преступлений недостаточно изучения их характера и экономической природы, необходимо создание системы идентификации риска COVID-19, создающей комплексное понимание причин и последствий изменения экономической конъюнктуры, финансового поведения клиентов, признаков повышения концентрации рисков и программ дополнительного комплаенс контроля риска COVID-19 в кредитно-финансовой сфере. Комплаенс-риск — это распространенный и зачастую существенный риск для достижения целей организации, составной частью которого является риски, обусловленные влиянием пандемии COVID-19.
К числу распространенных изменений, повлекших распространение риска COVID-19, можно отнести:
• введение процедур удаленной идентификации клиентов на уровне кредитно-финансовых организаций, объем проведения которой значительно увеличилось за прошедший год во всем мире.
• увеличение активности клиентов в онлайн банкинге, когда покупки товаров и услуг реализуются в безналичном порядке без подтверждения личности клиента.
• увеличение объема криминального финансирования, включая предоставление кредитов и займов клиентам, потерявшим работу в результате пандемии и пр.
• увеличение количества компаний-посредников, предоставляющих медицинские услуги.
• увеличение объема государственных закупок и каналов доставки финансовой помощи в целях мероприятий COVID-19.
Практическая работа по созданию комплексной системы управления и идентификации риска COVID-19 с целью снижения возможности вовлечения кредитно-финансовых организаций в процессы легализации доходов и преступной деятельности требует применения новой методологии, направленной на изучение концентрации подозрительных клиентов и совершаемых ими операций, в рамках используемых комплаенс процедур, уровня проблематики клиентов и локализации рисков на отдельной территории присутствия. ПОСТАНОВКА ЗАДАЧИ
Рассмотреть особенности формирования комплексной системы идентификации рисков COVID-19 с целью снижения возможности вовлечения кредитно-финансовых организаций в процессы легализации доходов, полученных преступным путём, защиты от финансового мошенничества как кредитных организаций, так и их клиентов, а также выявить дополнительные риски, связанные с переходом клиентов на удалённые каналы обслуживания. На основе проведённого анализа предложить усовершенствовать методологию COSO-ERM, дополнив её новыми компонентами, которые позволят выявить и снизить риски, вызванные влиянием пандемии коронавируса. РЕЗУЛЬТАТЫ
Еще в середине 1970-х на фоне активного развития финансового сектора в США увеличилось количество преступлений в области коррупции и транснационального взяточничества, что послужило
60
импульсом для реформирования корпоративного финансового права и принятия неотложных мер для совершенствования программ внутреннего контроля в корпорациях [3]. В качестве ответной меры в 1985 году была сформирована Комиссия Тредвея, в результате работы которой появился первый доклад «Национальной комиссии по вопросам мошенничества в финансовой сфере», а позднее сформирован Комитет спонсорских организаций (COSO). Сегодня методология COSO ERM «Управление рисками организации — интегрированная модель» формирует основополагающие стандарты управления рисками для крупнейших мировых компаний, позволяющая выявить наиболее уязвимые операционные и бизнес-процессы, устранить некорректные комплаенс процедуры, сформировать основу для системы идентификации различных рисков [6].
Особенностью модели COSO является формирование целевых ориентиров для операционных и бизнес-процессов с тем, чтобы определить основные риски и препятствия в их достижении [5]. При этом цели должны соотноситься с оценкой уровня риска, в случае если цель не определена, то не определены риски, которые подлежат такой [9].
Принцип методологии COSO заключается в декомпозиции основной цели до цели более низкого уровня и определения по каждому уровню присущего риска. Например, сначала определяются цели работы внутренних структурных подразделений, затем операционных и бизнес-процессов на уровне которых присутствуют риски и пр. [16]. Таким образом, достижение цели на каждом этапе деятельности кредитно-финансовой организации последовательно декомпозируется по уровню присущего риска.
В основе расширенной методологии COSO ERM заложены пять компонентов цели и семнадцать принципов, каждый из которых формирует соответствующий набор комплаенс процедур. Например, при постановке цели оценки рисков, принципы включают целеполагание, выявление и анализ рисков, анализ рисков мошенничества и коррупции и мониторинг изменений. Следовательно, методология закладывает для каждой цели, процедуры, которые позволят привести к ее достижению.
Несмотря на популярность данной методологии, она имеет не только преимущества, но и ограничения, которые могут быть реализованы на уровне экспертного или профессионального суждения. В результате низкого качества экспертной оценки могут быть приняты ошибочные суждения и как следствие, неадекватная реакция на риск [15,17], в результате оценки риска COVID-19 достаточно сложно оценить его концентрацию, в случае, когда кредитно-финансовая организация имеет многофилиальную структуру, рассредоточенную на нескольких территориях. Наличие таких ограничений не способствует получению уверенности в будущем, что риск будет нейтрализован [13].
С точки зрения авторов, эффективное применение данной методологии в целях выявления рисков COVID-19 возможно только при обеспечении выполнения следующих функций:
• выявление (идентификация) рисков на уровне характерных операционных и бизнес-процессов;
• оценка рисков с использованием количественных и/или качественных методов с учетом выбора оптимального метода;
• определение подходов и методов управления риском, а также перечня мероприятий по минимизации риска;
• определение целевых показателей концентрации уровня риска в целях его ограничения;
• установление контрольных значений лимитов и иных целевых показателей, по достижению которых необходима реализация мероприятий по минимизации риска;
• контроль объемов принимаемых рисков. Формирование комплаенс отчетности об уровне принятого риска и результатах оценки эффективности применяемых методов управления рисками;
• совершенствование системы идентификации рисков путем балансировки (распределения) на уровне различных структурных подразделений (филиальной сети).
Рассмотрим более подробно каждую из указанных функций.
1. Комплаенс проверка процедур выявления (идентификации) рисков COVID-19.
Система идентификации рисков COVID-19 должна позволять кредитно-финансовой организации выявлять риски, присущие ее деятельности и потенциальные риски, которым она может быть подвергнута на долгосрочной основе.
Перечень видов риска COVID-19 является открытым и дополняется при появлении новых актуальных для кредитно-финансовой организации и ее филиалов видов риска, которые могут быть поделены на следующие группы:
• риск внешнего или внутреннего мошенничества;
61
• риск нарушения управления доступом;
• риск утечки конфиденциальной информации;
• риск недоступности активов.
Необходимо учитывать, что природа возникновения риска COVID-19, сочетает в себе различные виды риска, к которым относится операционных риск, риск информационной безопасности и комплаенс риск, с точки зрения возможности легализации доходов полученных преступным путем, поэтому в целях обеспечения условий для эффективного выявления и его оценки в кредитно-финансовой организации должна быть сформирована собственная база данных о понесенных операционных убытках в разрезе филиалов, подразделений, направлений деятельности, отдельных банковских операций и других сделок, обстоятельств их возникновения и выявления.
При этом внутренние данные кредитно-финансовой организации об убытках должны быть всеобъемлющими и учитывать все существенные события и риски всех подсистем и географических регионов, и территорий присутствия. Тогда как внешние данные, используемые для оценки этого риска, должны включать информацию о реальных суммах убытков, масштабе деловых операций в регионе (отрасли), где убытки понесены, информацию о причинах и обстоятельствах событий, вызвавших убытки, или прочую информацию, позволяющую оценить актуальность этих событий для кредитно-финансовой организации.
Результатом анализа риска COVID-19 является перечень видов и его разновидности в сочетании с другими видами сопутствующего риска с присвоенными им уровнями в качественном или количественном выражении.
2. Оценка риска COVID-19 с использованием количественных и/или качественных методов.
Модели оценки риска COVID-19 могут быть основаны на экспертных оценках. Экспертная оценка (самооценка) — количественная и/или качественная оценка риска, основанная на профессиональном суждении квалифицированных сотрудников кредитно-финансовой организации и/или внешних экспертов. Примеры, используемых моделей, основанных на экспертных оценках приведены в таблице 1.
Таблица 1. Виды моделей для идентификации риска СОУГО-19 основанные на экспертных оценках *
Вид моделей, основанные на методологии COSO Входы модели Выходы модели Механизм трансформации данных
Карты рисков Качественные показатели и/или оценки экспертов Карты рисков Взвешивание и агрегация экспертных оценок
Ренкинги Качественные и/или количественные показатели и/или оценки экспертов Ренкинговый список Упорядочение оценок
Рейтинги на основе риск-ориентированного подхода Качественные и/или количественные показатели и/или оценки экспертов Состав рейтинговых групп Скоринговая оценка: установление функциональной зависимости рейтинга от значений рейтинговых факторов
* Составлено авторами
При проверке моделей, основанных на экспертных оценках, необходимо уделить внимание:
• квалификации экспертов, формирующих независимые суждения;
• диверсификации состава экспертной группы, позволяющей рассмотреть объект анализа с позиций разных заинтересованных сторон;
• полноте и качеству исходной информации, на основе которой эксперты должны выносить свои суждения;
• особенностям организации накопления, хранения и презентации данной информации.
62
3. Определение подходов и методов управления риском COVID-19, а также перечня мероприятий по минимизации риска.
Кредитно-финансовая организация должна определить следующие подходы к оценке и управлению риском COVID-19 с учетом следующих основных подходов:
• «снизу-вверх» — при котором выявляются и оцениваются источники, причины и последствия (потенциальные и реализованные) события возникновения риска в подразделениях кредитно-финансовой организации и операционных/бизнес-процессах. Такая работа должна осуществляться на постоянной основе сотрудниками и руководителями всех структурных подразделений кредитно-финансовой организации в соответствии с функциональными обязанностями, положениями о подразделениях, в рамках операционных регламентов, других внутренних нормативных документов;
• «сверху-вниз» — при котором оцениваются последствия реализации риска (прямые и косвенные потери/затраты, их влияние на конечные результаты деятельности кредитно-финансовой организации). В целях принятия адекватных мер, направленных на совершенствование системы управления риском COVID-19, руководство кредитно-финансовой организации (филиала), коллегиальные органы на регулярной основе должны рассматривать подготовленные комплаенс отчеты об уровне уже реализованных рисков, фактах нарушений операционных регламентов и процедур, установленных полномочий, лимитов и ограничений.
Такая проверка должна проводиться на основании анализа событий, связанных с реализацией риска COVID-19 в проверяемом периоде. По каждому событию должна даваться оценка, как и каким образом, проводилось расследование по факту реализации риска COVID-19, насколько правильно были установлены источники и причины реализации этого риска, насколько меры, предпринятые кредитно-финансовой организации, приводят к минимизации возникновения этого риска по этому событию в дальнейшем.
4. Определение целевых показателей концентрации уровня риска в целях его ограничения.
Для цели ограничения уровня распространения риска COVID-19, целесообразно формировать
лимит на данный вид риска (каждый в отдельности или в совокупности), который может быть установлен в абсолютном и относительном значении. Следуя логике ограничений на распространение риска COVID-19, его можно классифицировать, как допустимый или недопустимый. При этом допустимость риска означает, что кредитно-финансовая организация готова принять соответствующий уровень риска при наличии соответствующих комплаенс процедур.
Для определения целевых показателей концентрации риска COVID-19 особенно важен анализ наличия, актуальности, правомерности утвержденных внутренних регламентов, устанавливающих уровень допустимости риска COVID-19 при проведении операций, затрагивающих первичные активы (информация, операционные и бизнес-процессы) и вторичные активы (активы поддержки — аппаратные средства, программное обеспечение, сети, персонал, снабжение, обеспечивающие процессы), находящихся под угрозой этого риска.
5. Установление контрольных значений лимитов и иных целевых показателей, по достижению которых необходима реализация мероприятий по минимизации риска COVID-19.
Для проведения оценки лимитов необходимо определить состав, методику расчета и целевые значений таких показателей для проведения мероприятий по минимизации данного риска на уровне всех подразделений кредитно-финансовой организации.
6. Контроль объемов принимаемых рисков и формирование комплаенс отчетности об уровне принятого риска и результатах оценки эффективности применяемых методов управления рисками. На данном этапе важно сформировать и утвердить формы периодической комплаенс отчетности, которая должна соответствовать следующим принципам: рациональность, воспринимаемость, прозрачность, полнота, сравнимость и агрегируемость, сроки, целостность.
7. Совершенствование системы идентификации риска путем балансировки (распределения). Необходимо рассмотреть действующую систему идентификации риска COVID-19 на предмет ее готовности к выявлению и последующему распределению риска, включая информационные системы, процедуры и технологии, на основе информации о реализованных рисках, с учетом поставленных стратегических задач, изменений во внешней среде, нововведений в мировой практике в части управления такими видами риска.
При соблюдении указанных выше функций, данная методология может быть успешно использована для цели выявления концентрации и последующей балансировки неспецифичных рисков,
63
таких как риск COVID-19, характерной особенностью которого является его локализация в области цифровых технологий и созданных на их основе дистанционных каналах обслуживания клиентов. Особенно подвержены таким рискам многофилиальные кредитно-финансовые организации, чья деятельность рассредоточена в различных регионах или территориях.
Под управлением риском COVID-19 в многофилиальной кредитно-финансовой организации понимается комплекс мероприятий, направленных на соблюдение установленного аппетита к риску, в том числе выявление существенных рисков, оценка рисков, прогнозирование уровня рисков, мониторинг и контроль за объемами принятого риска, реализация мер по снижению уровня принятого риска.
В рамках данной публикации, мы предлагаем усовершенствовать методологию COSO ERM, дополнив уже существующие компоненты, механизмом контроля балансировки распределения клиентов для цели нивелировании разницы в уровне вовлеченности между различными филиалами по принципу, чем «выше проблемность филиала, тем больше доля клиентов филиалов на анализ» при заданной величине производительности каждой комплаенс процедуры кредитно-финансовой организации. Использование механизма контроля балансировки позволит снизить вероятность неверного профессионального или экспертного суждения на уровне предпринятых компла-енс процедур и оценочных суждений и установить операционные и бизнес процессы, наиболее подверженные риску.
Под вовлеченностью клиентов (проблемностью) филиала мы понимаем отношение количества клиентов филиала, попавших в определенный отчет комплаенс контролера с высоким риском, к общему количеству клиентов филиала, попавших в этот отчет. Под комплаенс процедурами следует понимать мероприятия, направленные на выявление таких рисков в рамках изучения поведения клиентов, способов и схем легализации доходов, полученных преступным путем и совершения противоправных действий.
Таким образом, в качестве цели заданной методологии будет выступать поиск источника концентрации риска, декомпозируемого на уровень вовлеченности филиала, отдельных операционных/бизнес-процессов и его последующая балансировка для цели гибкой реализации комплаенс процедур.
Каждому из исследованных признаков вовлеченности клиентов от риска COVID-19 в разрезе филиалов должен быть присвоен соответствующий рейтинг для цели выявления наиболее уязвимых филиалов кредитно-финансовой организации. В дальнейшем аналогичный анализ может проводиться в разрезе операционных/бизнес-процессов кредитно-финансовой организации, которым присущ признак вовлеченности.
Количество клиентов с высоким риск-рейтингом может рассчитываться по результатам ско-ринговой оценки массива клиентов, попавших в отчеты за день Т-2. Общее количество клиентов, попавших в комплаенс отчет, будет рассчитываться исходя из массива операций клиентов (корпоративных и частных), загруженных в единую информационную систему «Профиль клиента» за день Т-2.
Таким образом, уровень вовлеченности может рассчитываться по каждому из критичных контрольных процедур, попавших в комплаенс отчет. При этом, расчет уровня вовлеченности и балансировка комплаенс контроля между филиалами может производиться на уровне единой системы идентификации рисков COVID-19 в автоматизированном режиме, а информация о клиентах отражаться в «Профиле клиента».
Механизм распределения комплаенс контроля может осуществляться в следующем порядке.
Производится удаление повторяющихся клиентов из отчетов комплаенс контролера каждого филиала в порядке приоритета, чем крупнее филиал, тем выше уровень приоритетности.
По каждому критичному комплаенс отчету будет рассчитываться уровень вовлеченности по каждому филиалу:
где Vij—вовлеченность филиала j по комплаенс отчету i; nij — количество клиентов в отчете i по филиалу j с высоким риск-рейтингом; Sj — общее количество по филиалу j, попавших в комплаенс отчеты в день Т-2.
64
В дальнейшем необходимо найти эталонное (минимальное) значение уровня вовлеченности по каждому комплаенс отчету из всех филиалов:
Vmin(i) = rnnVi,
где Vmin(i) — эталонное значение уровня вовлеченности по комплаенс отчету i среди всех филиалов; min V — минимальное значение уровня вовлеченности по комплаенс отчету i среди всех l
1=1
филиалов.
Таким образом, по каждому филиалу можно рассчитать сбалансированное количество условных клиентов, нивелирующих вовлеченность по данному филиалу до эталонного значения по ком-плаенс отчету:
N.. = N.. + N.. г (V.. - V ,(Л
У У У v У mm(i)"
где N.. — сбалансированное количество условных клиентов филиала j по комплаенс отчету 1.
Для цели снижения трудозатрат от реализации комплаенс функций, дополнительно можно рассчитать производительность проводимых комплаенс процедур на день Т:
P = p х q,
где P — дневная производительность комплаенс контроля; p — среднедневная производительность комплаенс процедуры (ретро-данные, рассчитываются по итогам календарного квартала); q — фактическое количество комплаенс процедур на день Т.
По итогам проведенной оценки должна сформироваться матрица количества рисковых клиентов для цели детализированного анализа не только в разрезе конкретных территорий и филиалов кредитно-финансовой организации, но и отдельных бизнес/операционных процессов, нуждающихся в дополнительных комплаенс процедурах.
Расчет значений полей матрицы будет производиться по формуле следующим образом:
Ni,
где N.. — сбалансированное количество условных клиентов филиала j по бизнес/операционному процессу 1; S(Nj Р Nkl) — сумма условных клиентов по всем k бизнес / операционным процессам и по всем l филиалам в зоне контроля; P — дневная производительность комплаенс процедур; k — количество критичных комплаенс отчетов; l — количество филиалов в зоне ответственности ком-плаенс контроля.
Значения итоговых полей матрицы определяют количество клиентов по каждому филиалу в разрезе рисков бизнес/операционных процессов, принимаемых на анализ комплаенс контролем в день Т.
По мнению авторов, в результате усовершенствования методологии COSO можно получить не только информацию о характере совершаемых подозрительных операций клиентов, но и конкретных территориях, бизнес/операционных процессов, в которых такой риск имеет максимальную концентрацию на уровне кредитно-финансовой организации. Использование механизма балансировки будет способствовать распределению комплаенс процедур в зонах концентрации повышенного риска на уровне вовлеченности в конкретные операционные/бизнес-процессы и операции. Кроме того, за счет механизма балансировки повышается эффективность самой системы идентификации рисков COVID-19 с точки зрения инструмента для снижения мошеннических действий и преступлений в кредитно-финансовой сфере.
Проведенные авторами исследования оценки риска COVID-19 по итогам анализа деятельности одного из крупнейших российских банков за период 2020 года показали1, что достижение целей на уровне отдельных операционных и бизнес процессов не соответствуют уже сформированным комплаенс процедурам, поскольку концентрация рисковых событий в наиболее проблемных филиалах была обусловлена повышением динамики объема совершаемых дистанционных банковских продуктов и услуг и изменением формата работы подразделений в условиях массового пере-
1 Примечание. Оценка проведена на основе данных информационной системы «Профиль клиента» в рамках заданных индикаторов и схем риска СОУГО-19
65
хода на удаленное обслуживание клиентов. Следовательно, при изменении формата работы подразделений кредитно-финансовой организации одновременно должны быть пересмотрены комп-лаенс процедуры, нейтрализующие этот риск в рамках заданных целей для операционных и бизнес-процессов.
Анализ проведенного механизма балансировки на уровне вовлеченности клиентов в противоправные и преступные схемы отмывания доходов, полученных преступным путем, показал, что наибольшая концентрация риска COVID-19 приходится на филиалы и территориальные подразделения кредитно-финансовой организации, где:
• проводилась ускоренная миграция клиентов к использованию удаленных каналов обслуживания (25 %) случаев;
• для связи с клиентами использовались не стационарные телефонные номера, а мобильные номера сотрудников кредитно-финансовой организации (20 %) случаев;
• проводилось переформатирование и сокращение времени работы внутренних структурных подразделений филиала кредитно-финансовой организации (15 %) случаев;
• выявлены нарушения операционных и бизнес-процессов на этапе внедрения процедуры удаленной идентификации клиентов (11 %) случаев;
• выявлены многочисленные жалобы и претензии на качество предоставления удаленных банковских сервисов (20 %) случаев;
• прочие нарушения, связанные с организацией работы комплаенс контроля (9 %) случаев.
Таким образом, практическое использование механизма контроля балансировки распределения клиентов для цели нивелировании разницы в уровне вовлеченности между различными филиалами позволило сделать вывод о том, что при выявлении концентрации риска на уровне операционного или бизнес-процесса необходимо внедрение гибких комплаенс процедур при заданном уровне их производительности.
Принимая во внимание природу возникновения риска COVID-19 основные комплаенс процедуры должны быть сосредоточены в зонах дистанционных каналов обслуживания клиента с одновременным изучением характера деятельности клиента, изменения его поведения и специфики проводимых операций.
В целях единства и объективности полученных данных были использованы следующие информационные источники, включая:
• данные о зарегистрированных операционных и бизнес инцидентах в системе управления рисками кредитно-финансовой организации;
• данные по подозрительным операциям, направляемым в составе отчетности в Росфин-мониторинг;
• данные комплаенс отчетов по филиалам кредитно-финансовой организации (включая данные по динамике проводимой удаленной идентификации клиентов);
• данные по изменению режима работы внутренних структурных подразделений филиала кредитно-финансовой организации.
ВЫВОДЫ
Современное понимание особенностей формирования системы идентификации и управления риском COVID-19 для кредитно-финансовых организаций определяет необходимость в среднесрочной и долгосрочной перспективах внедрения процедур гибкого комплаенс контроля в операционных и бизнес-процессах, связанных с переходом клиентов на удаленные каналы обслуживания. Ускорение миграции клиентов приводят не только к увеличению объема таких рисков, но к необходимости решения задач углубленного анализа профиля клиента и схемах идентификации проводимых операций в удаленных каналах, анализа изменения поведения клиента при использовании различных продуктов и сервисов, разработки комплаенс модели для оценки новых рисков, имплементации действующей операционной стратегии с учетом изменений технологических практик и появления новых каналов самообслуживания на уровне всей филиальной сети.
Ключевые задачи, объединенные в рамках развития системы идентификации и управления риском COVID-19 в целях противодействия легализации доходов, полученных преступным путем, определяют перспективные направления дальнейших научных исследований включающих анализ причинно-следственных связей между удаленными каналами обслуживания и схемами используемыми недобросовестными клиентами. Такая работа должна проводиться не только на
66
уровне контрольных и надзорных органов, но и на уровне самих участников кредитно-финансового сектора для снижения количества мошеннических действий и пресечения незаконного оборота капитала.
СПИСОК ЛИТЕРАТУРЫ
1. Буров В.Ю. Опыт Российской Федерации по противодействию оттоку капитала за рубеж и легализации доходов, полученных преступным путем / В.Ю. Буров // Теневая экономика. — 2019. — Том 3. N° 3. — С. 153-164.
2. Группа разработки финансовых мер по борьбе с отмыванием денег FATF. Росфинмониторинг [Электронный ресурс]. — Режим доступа: www.fedsfm.ru (дата обращения: 05.10.2021).
3. Остудина Т.В. Совершенствование системы управления рисками через создание интегрированной системы банковского риск-менеджмента / Т.В. Остудина // Вестник Волжского университета им. В .Н. Татищева.
— 2014. — Номер 1 (30). — С. 133-140.
4. Пахарев А.В. Проблемные вопросы противодействия легализации доходов от наркобизнеса как элемента экономической безопасности / А.В. Пахарев // Экономическая безопасность. — 2020. — Том 3. Номер 3. —
C. 363-376.
5. Серебрякова Т.Ю. Концептуальные модели внутреннего контроля. Монография / Т.Ю. Серебрякова. — М.: ИНФРА-М, 2012. — 328 с.
6. Abdul Aziz A. The effect of applying COSO-ERM model on reducing fraudulent financial reporting of commercial banks in Jordan / Abdul Aziz A. Abdul Rahman, Othman Hel Ajmi Al-Dhaimesh //Banks, and Bank Systems. — 2018.
— 13(2). — P. 107-115.
7. Aldasoro I. Cyber risk in the financial sector / Inaki Aldasoro, Jon Frost, Leonardo Gambacorta, Thomas Leach, David Whyte // SUERF Policy Note. — 2020. — Issue №> 206 (November).
8. Aldasoro I. Operational and cyber risks in the financial sector / Inaki Aldasoro, Leonardo Gambacorta, Paolo Giudici, Thomas Leach. — BIS Working Papers. — 2020. — №> 840 (February).
9. Beasley M. COSO's 2010 report on enterprise risk management: Current state of enterprise risk oversight and market perceptions of COSO's ERM framework / M. Beasley, S. Branson, B. Hancock. — New York, NY: Committee of Sponsoring Organizations of the Treadway Commission, 2010.
10. Crisanto J. Financial crime in times of Covid-19—AML and cyber resilience measures / Juan Carlos Crisanto and Jermy Prenio // FSI Brief. — 2020. — May.
11. Curti F. Cyber risk definition and classification for financial risk management / F. Curti, J. Gerlach, S. Kazinnik, M. Lee, A. Mihov // Federal Reserve Bank of St Louis. — 2019. — August.
12. Dingel J. How many jobs can be done at home? / J. Dingel, B. Neiman //Journal of Public Economics. — 2020.
— September. — 189 (2): 104235.
13. Ginnarakis G. The weight of corporate social responsibility indicators in measurement procedure / G. Ginnarakis,
D. Galani, C. Georgia, N. Litinas // World Academy of Science, Engineering and Technology, 2010. — P. 409-417.
14. Jayasekara S.D. Deficient regimes of anti-money laundering and countering the financing of terrorism: agenda of digital banking and financial inclusion / S.D. Jayasekara // Journal of Money Laundering Control. — 2020.
15. Hyun-Ah Lee. The effect of internal control environment on the value relevance of earnings / Lee Hyun-Ah // Investment Management and Financial Innovations. — 2019. — 16 (2). — P. 182-194.
16. Maas K. Integrating Corporate Sustainability Assessment, Management Accounting, Control, and Reporting / K. Maas, S. Schaltegger, N. Crutzen // Journal of Cleaner Production. — 2016. — Vol. 136, part A. — P. 237-248.
17. Pang, Y. Integration of internal control and risk management / Y. Pang, D. Shi // In International Conference on Business Intelligence and Financial Engineering, 2019. — P. 369-372.
SPBOKLTTERATURY
1. Burov V Yu. Opyt Rossiyskoy Federatsii po protivodeystviyu ottoku kapitala za rubezh i legalizatsii dokhodov, poluchennykh prestupnym putem / VYu. Burov // Tenevaya ekonomika. — 2019. — Tom 3. .№ 3. — S. 153-164.
2. Gruppa razrabotki finansovykh mer po bor'be s otmyvaniyem deneg FATF. Rosfinmonitoring [Elektronnyy resurs]. — Rezhim dostupa: www.fedsfm.ru (data obrashcheniya: 05.10.2021).
3. Ostudina T.V. Sovershenstvovaniye sistemy upravleniya riskami cherez sozdaniye integrirovannoy sistemy bankovskogo risk-menedzhmenta / T.V Ostudina // Vestnik Volzhskogo universiteta im. VN. Tatishcheva. — 2014. — 1 (30). — S. 133-140.
4. Pakharev A.V. Problemnyye voprosy protivodeystviya legalizatsii dokhodov ot narkobiznesa kak elementa ekonomicheskoy bezopasnosti / A.V. Pakharev // Ekonomicheskaya bezopasnost'. — 2020. — 3 (3). — S. 363-376.
5. Serebryakova T.Yu. Kontseptual'nyye modeli vnutrennego kontrolya. Monografiya / T.Yu. Serebryakova. — M.: INFRA-M, 2012. — 328 s.
67
6. Abdul Aziz A. The effect of applying COSO-ERM model on reducing fraudulent financial reporting of commercial banks in Jordan / Abdul Aziz A. Abdul Rahman, Othman Hel Ajmi Al-Dhaimesh //Banks, and Bank Systems. — 2018.
— 13(2). — P. 107-115.
7. Aldasoro I. Cyber risk in the financial sector / Inaki Aldasoro, Jon Frost, Leonardo Gambacorta, Thomas Leach, David Whyte // SUERF Policy Note. — 2020. — Issue №> 206 (November).
8. Aldasoro I. Operational and cyber risks in the financial sector / Inaki Aldasoro, Leonardo Gambacorta, Paolo Giudici, Thomas Leach. — BIS Working Papers. — 2020. — №> 840 (February).
9. Beasley M. COSO's 2010 report on enterprise risk management: Current state of enterprise risk oversight and market perceptions of COSO's ERM framework / M. Beasley, S. Branson, B. Hancock. — New York, NY: Committee of Sponsoring Organizations of the Treadway Commission, 2010.
10. Crisanto J. Financial crime in times of Covid-19 — AML and cyber resilience measures / Juan Carlos Crisanto and Jermy Prenio // FSI Brief. — 2020. — May.
11. Curti F. Cyber risk definition and classification for financial risk management / F. Curti, J. Gerlach, S. Kazinnik, M. Lee, A. Mihov // Federal Reserve Bank of St Louis. — 2019. — August.
12. Dingel J. How many jobs can be done at home? / J. Dingel, B. Neiman //Journal of Public Economics. — 2020.
— September. — 189 (2): 104235.
13. Ginnarakis G. The weight of corporate social responsibility indicators in measurement procedure / G. Ginnarakis, D. Galani, C. Georgia, N. Litinas // World Academy of Science, Engineering and Technology, 2010. — P. 409-417.
14. Jayasekara S.D. Deficient regimes of anti-money laundering and countering the financing of terrorism: agenda of digital banking and financial inclusion / S.D. Jayasekara // Journal of Money Laundering Control. — 2020.
15. Hyun-Ah Lee. The effect of internal control environment on the value relevance of earnings / Lee Hyun-Ah // Investment Management and Financial Innovations. — 2019. — 16 (2). — P. 182-194.
16. Maas K. Integrating Corporate Sustainability Assessment, Management Accounting, Control, and Reporting / K. Maas, S. Schaltegger, N. Crutzen // Journal of Cleaner Production. — 2016. — Vol. 136, part A. — P. 237-248.
17. Pang, Y. Integration of internal control and risk management / Y. Pang, D. Shi // In International Conference on Business Intelligence and Financial Engineering, 2019. — P. 369-372.
Статья поступила в редакцию 15 октября 2021 года
Статья одобрена к печати 1 ноября 2021 года
68
